パスキーはパスワードを超えるか？2026年普及の現実と課題

パスワードは、アカウント保護の“当たり前”の座をじわじわと失いつつあり、2026年が転換点になるとの見方が強まっている。理由は単純だ。人は今も弱い組み合わせを作り、複数のサービスで使い回し、基本的なセキュリティの作法を守りきれていない。その結果、資格情報の窃取は依然として代表的なサイバー脅威で、この流れが自然に反転する気配は薄い。

数字はその現実を裏づける。BODA.SUが引用するVerizonの報告書は、盗まれたログイン情報とパスワードがデータ侵害の主要因であり続けていると繰り返し指摘してきた。DBIR 2025では、侵害されたパスワードのうちベースラインの複雑性要件を満たしていたのは約3%にとどまった。これは、すべてのパスワードの“良さ”が3%しかないという意味ではないが、攻撃者の手に渡りやすい資格情報の傾向を示している。

こうした状況を受け、テクノロジー企業が押し出しているのがパスキーだ。生体認証やPINなど、端末上のローカルな確認で本人性を示すパスワード不要のサインイン方式で、公開鍵と秘密鍵の暗号基盤に依拠する。公開鍵はサービス側に、秘密鍵はユーザー側に留まり、ネットワークに送られることはない。

フィッシングへの強さは大きな持ち味だ。鍵は特定のサイトに結び付けられているため、詐欺師が用意した偽のログインページでは機能しない。パスワードと違い、どこにでも“打ち込める”ものではない。

主要エコシステムの動きも前のめりだ。Microsoft、Google、AppleはOSやアカウントのレベルでパスキーをサポートしており、Microsoftはパスワードに依存しないモデルへ進む姿勢を明確にしている。実際には、長年慣れ親しんだパスワードの導線を見直し、より新しいサインイン手段へとユーザーを誘導することになる。

だからこそ、2026年という年がしきりに取り沙汰される。そこまでに主要プラットフォームと人気サービスの多くでパスキー対応が行き届き、普及に弾みがつく土壌が整うという見立てだ。一方で、完全な“パスワード卒業”は現実的ではない。端末紛失やサインインのトラブル時に、パスワードが控えとして残るシステムは少なくない。安全網としての役割は当面続く、というのが率直なところだ。

当面は移行期が続くのだろう。パスキーの利用がじわじわ広がり、パスワードは次第に“二番手”へ。多くの人にとっては、複雑な文字列を記憶する負担が軽くなり、アカウントにアクセスする手順もすっきりする。パスワードとの決別が一夜にして起きるわけではないが、確かな一歩であることはたしかだ。